|
Es además un "dropper" que libera diversos archivos y detiene el servicio de un antivirus de origen chino, en caso encontrarlo instalado.
Haciendo uso de la técnica de la fuerza bruta, el troyano intenta ingresar a las redes con recursos compartidos como Administrador o usuario.
Infecta todos los archivos con extensión .EXE,
de las unidades de disco, dejándolos inoperativos.
Al ser ejecutado libera crea la carpeta \UNINSTALL en el directorio %Windir% y libera los archivos Rundl132.exe y Richdll.dll los cuales copia a la carpeta recién creada.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Load" = "%Windir%\UNINSTALL\Rundl132.exe"
Para impedir la descarga de archivos de Internet crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
Auto = "1"
Al siguiente inicio del equipo, el troyano busca procesos relacionados el antivirus Kingsoft, producido en la China, y de hallarlo detiene el servicio.
Luego emplea el método de la "fuerza bruta" para intentar ingresar a redes con recursos compartidos configuradas con contraseñas débiles, como Administrador accediendo a:
De conseguir ingresar, se propaga en recursos compartidos protegidos con contraseñas, usando un password en blanco y los siguientes nombres:
Revisa las unidades de la C:\ a la Z:\ y agrega su código viral a todos los archivos con extensión .EXE, dejándolos inoperativos.
El troyano copia el archivo _DESKTOP.INI en cada carpeta que revisa exitosamente y donde almacenará la fecha de infección.
PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 31 de Enero del 2007 detecta y elimina este troyano.
